PRESIDENZA DEL CONSIGLIO DEI MINISTRI - DIPARTIMENTO PER LA TRASFORMAZIONE DIGITALE - dipartimento per la ...

Pagina creata da Riccardo Belli
 
CONTINUA A LEGGERE
PRESIDENZA DEL CONSIGLIO DEI MINISTRI -
DIPARTIMENTO PER LA TRASFORMAZIONE
DIGITALE
DECRETO 12 dicembre 2020
Definizione delle regole    tecniche   del   servizio   di   fatturazione
automatica. (21A00420)

(GU n.27 del 2-2-2021)

                    IL MINISTRO PER L'INNOVAZIONE
                  TECNOLOGICA E LA DIGITALIZZAZIONE

  Visto il decreto legislativo del 7 marzo 2005, n. 82 recante il
«Codice dell'amministrazione digitale» (di seguito «CAD») il quale
all'art. 5, comma 2, prevede che la Presidenza del Consiglio dei
ministri mette a disposizione una piattaforma tecnologica          per
l'interconnessione   e   l'interoperabilita'   tra    le    pubbliche
amministrazioni e i prestatori di servizi di pagamento abilitati;
  Visto il comma 2-sexies dell'art. 5 del menzionato          decreto
legislativo, come introdotto dall'art. 21 del decreto-legge 26
ottobre 2019, n. 124, convertito con modificazioni dalla legge 19
dicembre 2019, n. 157, secondo cui «la piattaforma tecnologica di cui
al comma 2 puo' essere utilizzata        anche    per  facilitare    e
automatizzare, attraverso i pagamenti elettronici, i processi di
certificazione fiscale tra soggetti privati, tra cui la fatturazione
elettronica e la memorizzazione e trasmissione dei         dati    dei
corrispettivi giornalieri di cui agli articoli 1 e 2 del decreto
legislativo 5 agosto 2015, n. 127»;
  Visto il comma 2-septies del medesimo articolo, che dispone che
«con decreto del Presidente del Consiglio dei ministri o del Ministro
delegato per l'innovazione tecnologica e la digitalizzazione, di
concerto con il Ministro dell'economia e delle finanze, sono definite
le regole tecniche di funzionamento della piattaforma tecnologica e
dei processi di cui al comma 2-sexies»;
  Visto il regolamento (UE) n. 2016/679 del Parlamento europeo e del
Consiglio del 27 aprile 2016 relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' alla
libera circolazione di tali dati e che abroga la direttiva 95/46/CE
(regolamento generale sulla protezione dei dati);
  Visto il decreto legislativo 30 giugno 2003, n. 196 e successive
modificazioni, recante il codice in materia di protezione dei dati
personali;
  Visto il decreto-legge 14 dicembre 2018, n. 135, convertito, con
modificazioni, dalla legge 11 febbraio 2019, n. 12, e in particolare
l'art. 8, comma 2, che prevede la costituzione di una societa' per
azioni, interamente partecipata dallo Stato e sottoposta          alla
vigilanza del Presidente del Consiglio dei ministri o del Ministro
delegato, per lo svolgimento delle attivita' di gestione della
piattaforma di cui all'art. 5, comma 2, del decreto legislativo 7
marzo 2005, n. 82, nonche' dei compiti e funzioni relativi a tale
piattaforma;
  Visto il decreto del Presidente del Consiglio dei ministri 19
giugno 2019, il quale ha autorizzato la costituzione, su iniziativa
della Presidenza del Consiglio, della societa' di cui all'art. 8,
comma 2, del citato decreto-legge, denominata PagoPA S.p.a.;
  Visto l'atto costitutivo della societa', di cui all'atto pubblico
notarile del 24 luglio 2019;
  Visto il decreto del Presidente della Repubblica 4 settembre 2019,
con il quale la dott.ssa Paola Pisano e' stata nominata Ministro
senza portafoglio;
  Visto il decreto del Presidente del Consiglio dei ministri 5
settembre 2019, con il quale al predetto Ministro senza portafoglio
e' stato conferito l'incarico per l'innovazione tecnologica e la
digitalizzazione;
  Visto il decreto del Presidente del Consiglio dei ministri 26
settembre 2019, registrato alla Corte dei conti il 3 ottobre 2019 e
pubblicato nella Gazzetta Ufficiale in data 18 ottobre 2019, con il
quale al predetto Ministro senza portafoglio e' stata conferita la
delega di funzioni in materia di        innovazione   tecnologica  e
digitalizzazione;
  Acquisito il parere del Garante per la protezione dei dati
personali espresso il 29 ottobre 2020;
  Di concerto con il Ministro dell'economia e delle finanze;

                              Decreta:

                              Art. 1

                              Oggetto

  1. Il presente decreto, adottato ai sensi dell'art. 5, comma
2-septies del decreto legislativo del 7 marzo 2005, n. 82, definisce
le regole tecniche del servizio di fatturazione automatica di cui al
comma 2-sexies del medesimo articolo, relativamente alla parte sulla
fatturazione elettronica.

                              Art. 2

                            Definizioni

  1. Ai fini del presente decreto si intendono per:
    a) «acquirer»: il prestatore di servizi di pagamento titolare di
un contratto di convenzionamento con l'esercente per l'accettazione e
il trattamento di     pagamenti   elettronici   che   comportano   un
trasferimento di fondi all'esercente stesso;
    b) «anagrafe tributaria»: la banca dati di cui al decreto del
Presidente della Repubblica del 29 settembre 1973, n. 605, ad
esclusione della sezione di cui all'art. 7, comma 6, del medesimo
decreto n. 605 del 1973, relativa all'archivio dei rapporti con gli
operatori finanziari;
    c) «app IO»: l'applicazione sviluppata dalla societa' ai sensi
dell'art. 8, comma 3 del decreto-legge 14 dicembre 2018, n. 135,
convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12,
tramite cui il cessionario/committente puo' registrare gli strumenti
di pagamento che intende utilizzare con il servizio di fatturazione
automatica;
    d) «ATM»: dispositivo utilizzabile autonomamente dalla clientela
che, tramite l'utilizzo di una carta bancaria o di altri mezzi,
distribuisce banconote in euro al pubblico con addebito sul conto
bancario o consente di effettuare altre operazioni collegate a un
rapporto bancario o a una carta di pagamento;
    e) «carta prepagata»: lo strumento di pagamento su cui e'
caricata moneta elettronica, quale definita all'art. 2, paragrafo 1,
numero 2, della direttiva 2009/110/CE, munito di IBAN e ricaricabile
anche tramite conto corrente;
    f) «Codice dell'amministrazione digitale» o «CAD»: il decreto
legislativo del 7 marzo 2005, n. 82;
    g) «compratore»: il soggetto persona fisica         che   effettua
materialmente l'acquisto di beni o servizi in qualita' di legale
rappresentante, o in nome e per conto, del cessionario/committente e
che, talvolta, puo' coincidere con quest'ultimo;
    h) «cessionario»: il soggetto, persona fisica o giuridica,
cessionario o committente, che aderisce al Sistema          PagoPA   -
Fatturazione automatica al fine di richiedere attraverso il sistema
stesso, l'emissione della fattura per gli acquisti effettuati in suo
nome o per suo conto, dal compratore;
    i) «esercente»: il soggetto, persona fisica         o   giuridica,
cedente/prestatore che svolge attivita' di impresa o che esercita
un'arte o una professione ed effettua la cessione di beni o
prestazione di servizi, che aderisce al Sistema PagoPA - Fatturazione
automatica e, tramite la stessa, emette la fattura;
    j) «fornitore di servizi di fatturazione elettronica»:          il
soggetto che aderisce al Sistema PagoPA - Fatturazione automatica e
genera, nell'interesse dell'esercente, in base a un contratto di
fornitura, la fattura     elettronica   trasmessa    al   Sistema   di
interscambio (SDI);
    k) «hash»: funzione matematica che genera, a          partire   da
un'evidenza informatica, un'impronta in modo tale che risulti di
fatto impossibile a partire da questa, ricostruire          l'evidenza
informatica originaria e generare impronte uguali a partire da
evidenze informatiche differenti;
    l) «issuer»: la persona giuridica che emette lo strumento di
pagamento utilizzato dal compratore;
    m) «circuito Pagobancomat»: il circuito domestico di carte di
debito emesse dalle singole banche italiane aderenti attraverso la
societa' Bancomat S.p.a.;
    n) «primary account number» o «PAN»: il numero identificativo di
una carta di debito o di credito associato alla stessa fin dalla sua
emissione;
    o) «payment card industry data security standard» o «PCI DSS»:
gli standard di sicurezza dei sistemi informativi relativi agli
strumenti di pagamento sviluppati dal Payment Card Industry Security
Standard Council;
    p) «Sistema PagoPA - Fatturazione automatica» o «Sistema»: il
sistema di raccolta delle transazioni        di   pagamento   per   la
fatturazione automatica sviluppato ai sensi del presente decreto
dalla societa' nell'ambito della piattaforma tecnologica di cui
all'art. 5, comma 2, del CAD;
    q) «point of sale» o «POS»: l'apparato fisico installato presso
gli esercenti titolari di almeno un contratto con un acquirer per
l'accettazione di strumenti di pagamento digitali;
    r) «servizio di fatturazione automatica» o «servizio»:          il
servizio erogato dalla societa' per il tramite del Sistema;
    s) «Sistema di interscambio» o «SDI»: il sistema di cui all'art.
1, commi 211 e 212, della legge 24 dicembre 2007, n. 244, gestito
dall'Agenzia delle entrate ai sensi del decreto del           Ministro
dell'economia e delle finanze del 7 marzo 2008, pubblicato nella
Gazzetta Ufficiale n. 103 del 3 maggio 2008;
    t) «societa'»: la societa' PagoPA S.p.a., costituita ai sensi
dell'art. 8, comma 2, del decreto-legge 14 dicembre 2018, n. 135,
convertito, con modificazioni, dalla legge 11 febbraio 2019, n. 12 e
che gestisce, ai sensi del medesimo articolo, la piattaforma di cui
all'art. 5, comma 2, del CAD;
    u) «transazione rilevante»: una      transazione    avvenuta   tra
compratore e esercente.

                               Art. 3

                        Obiettivi e principi
1. La societa' realizza, nell'ambito della piattaforma di cui
all'art. 5, comma 2, del CAD, il sistema e le funzionalita'
necessarie a garantire la fornitura del servizio di fatturazione
automatica di cui al presente decreto.
  2. Le soluzioni tecnologiche adottate ai sensi del comma 1
consentono il raggiungimento dei seguenti obiettivi:
    a) la realizzazione di un sistema centralizzato che semplifica lo
scambio di informazioni fra i soggetti coinvolti in una transazione
commerciale che prevede l'emissione della fattura elettronica, cosi'
favorendo la diffusione del sistema e dei servizi di fatturazione
elettronica da parte di professionisti e micro-imprese presso piccoli
o medi esercenti che possono riscontrare difficolta' nell'utilizzo
dei relativi servizi;
    b) la realizzazione di un sistema fruibile a richiesta anche da
parte di coloro che effettuano acquisti al di fuori dell'esercizio
dell'attivita' di impresa, dell'esercizio di un'arte o di una
professione;
    c) l'incentivazione della digitalizzazione dei pagamenti tramite
l'utilizzo di carte e strumenti di pagamento tracciabili presso
esercenti residenti o stabiliti nel territorio dello Stato;
    d) la possibilita' di sfruttare l'evoluzione delle tecnologie
gia' in uso, quali, tra le altre, l'adeguamento dei sistemi di cassa.
  3. Lo sviluppo delle tecnologie necessarie alle integrazioni di cui
al comma 1 avviene nel rispetto dei seguenti principi:
    a) disponibilita': il sistema realizzato ha impatti minimi
sull'esperienza dei processi di pagamento e garantisce ad ogni
cittadino l'accesso in qualsiasi momento alle informazioni relative
alle transazioni effettuate;
    b) correttezza: durante la raccolta e l'elaborazione delle
transazioni, il sistema assicura la correttezza e l'affidabilita' del
trattamento delle informazioni, limitando il salvataggio all'insieme
minimo di informazioni necessario al funzionamento del sistema
stesso;
    c) efficienza e auto-sostenibilita': le soluzioni tecnologiche
implementate garantiscono le funzionalita' di cui al presente decreto
e un'esperienza utente adeguata, nonche' rispettano criteri di
efficienza economica tali da permettere l'auto sostenibilita' nella
gestione del sistema e del servizio;
    d) sicurezza e protezione dei dati personali: le soluzioni
implementate rispettano la normativa in materia di protezione dei
dati personali e, in particolare, i principi di privacy by default e
by design, ivi inclusi gli aspetti relativi alla sicurezza dei dati e
delle informazioni processate, con la predisposizione di misure
tecniche e organizzative adeguate per garantire un livello di
sicurezza adeguato al rischio che la soluzione comporta.
  4. La copertura dei costi di esercizio della societa' per le
attivita' derivanti dalla gestione del sistema e del servizio sono
assicurati anche dai ricavi derivanti dai corrispettivi richiesti a
fronte dei servizi resi.

                              Art. 4

                       Ambito di applicazione

  1. Il servizio di fatturazione automatica di cui al presente
decreto si applica alle operazioni di pagamento effettuate presso POS
presenti sul territorio nazionale, effettuate mediante l'utilizzo di
carte di debito, carte di credito, carte prepagate, ivi inclusi gli
strumenti di pagamento di cui all'art. 2, comma 2, lettera m), del
decreto legislativo 27 gennaio 2010, n. 11,         nonche'   tramite
applicazioni che consentono di effettuare bonifici di pagamento o
tramite altri sistemi di pagamento messi a disposizione presso punti
vendita presenti sul territorio nazionale.
2. Sono escluse dall'ambito di applicazione del presente decreto le
transazioni di pagamento effettuate presso ATM.

                               Art. 5

                        Adesione al servizio

  1. Salvo quanto previsto dal comma 2 per gli acquirer, l'adesione
al servizio e' su base volontaria per tutti i soggetti coinvolti e
presuppone una fase di registrazione al servizio che si effettua come
segue:
    a) gli esercenti che intendono beneficiare del servizio si
registrano al Sistema, fornendo i propri dati anagrafici e gli altri
dati necessari al funzionamento del Sistema, ivi inclusi quelli
necessari per identificare il proprio acquirer e per identificare lo
stesso esercente presso il fornitore di servizi di fatturazione
elettronica, scelti tra quelli aderenti al servizio;
    b) i fornitori di servizi di fatturazione elettronica aderiscono
al Sistema stipulando un accordo con la societa' ed integrando i
propri sistemi informativi con la stessa;
    c) i cessionari che      intendono    beneficiare  del    servizio
registrano, nell'App IO o nei sistemi messi a disposizione dal
proprio issuer, uno o piu' strumenti di pagamento di cui intendono
avvalersi per usufruire del servizio, indicando anche gli estremi
della propria partita IVA ovvero del proprio codice fiscale. Il
Sistema, attraverso le metodologie tecniche comunicate dall'Agenzia
delle entrate alla societa', verifica che la partita IVA e il codice
fiscale siano esistenti, validi ed attivi         al  momento    della
registrazione. Quando il cessionario registra una carta di debito
abilitata al circuito PagoBancomat, mediante il codice fiscale dello
stesso, la societa' ottiene dal gestore del circuito PagoBancomat gli
estremi identificativi della carta di debito in uso al cessionario.
  2. Gli acquirer hanno l'obbligo di integrare i propri sistemi
tecnologici con il Sistema, previa stipula di un accordo con la
societa', per la trasmissione dei dati relativi alle transazioni di
pagamento per il funzionamento del Sistema, comprese quelle gestite
internamente (c.d. modalita' on-us) ed incluse le operazioni di
storno o riaccredito.

                               Art. 6

               Funzionalita' e flussi di funzionamento

  1. La soluzione tecnologica adottata       per   il   servizio    di
fatturazione automatica garantisce le seguenti funzionalita':
    a) il cessionario, tramite l'App IO o altro portale dedicato
(home banking e/o mobile banking) messo a disposizione dal proprio
issuer, memorizza (una tantum, con possibilita' di modifica o revoca)
in modo sicuro i propri strumenti di pagamento, abbinandoli alla
propria partita IVA o al proprio codice fiscale;
    b) l'esercente si iscrive al servizio        (una   tantum,   con
possibilita' di modifica o cancellazione), direttamente o tramite
soggetti terzi, tra i quali l'acquirer o il fornitore di servizi di
fatturazione elettronica;
    c) il compratore, al momento dell'acquisto e fermi restando gli
obblighi previsti dalla legislazione vigente in tema di fatturazione,
chiede all'esercente la fattura per i pagamenti selezionati, in nome
e per conto del cessionario;
    d) l'esercente invia alla societa', utilizzando i protocolli
messi a disposizione dal proprio sistema di cassa, i seguenti dati:
      1) identificativo della transazione;
      2) elementi della fattura;
    e) l'acquirer giornalmente, previa verifica dell'adesione del
cessionario, sulla base del PAN, fornito in sede di registrazione di
cui alla lettera a), opportunamente protetto mediante una funzione
crittografica non reversibile, e sulla base           della    lista   di
identificativi delle transazioni effettuate nella giornata e per le
quali sia stata richiesta la fattura, entrambi messi a disposizione
dalla societa', individua e restituisce alla societa' i dati di cui
alla seguente lettera f);
    f) al termine dell'operazione di cui alla lettera e), l'acquirer
trasmette alla societa' i seguenti dati, relativi unicamente ai
cessionari che hanno effettuato la registrazione:
      1) hash del PAN dello strumento di pagamento;
      2) per ognuna delle transazioni per le quali e' stata richiesta
la fattura, gli estremi della transazione inviata e presente anche
sul sistema cassa, ovvero i dati contenuti nella ricevuta elaborata
dal POS anche in forma cartacea, tra cui:
         a) il timestamp della transazione di pagamento;
         b) l'importo della transazione espresso in euro;
         c) il tipo di operazione (se di pagamento o di storno);
         d) un identificativo univoco (quale, tra gli altri, STAN o
RRN) che colleghi le fasi dell'operazione di pagamento;
         e) conferma, storno;
         f) la categoria merceologica dell'esercente;
         g) l'identificativo univoco del merchant;
    g) il Sistema, attraverso le metodologie tecniche comunicate
dall'Agenzia delle entrate alla societa', verifica che la partita IVA
e il codice fiscale del cessionario nonche' la              partita   IVA
dell'esercente siano ancora esistenti, validi ed attivi al momento
dell'acquisto;
    h) il Sistema invia i dati anagrafici del cessionario               e
dell'esercente e quelli relativi ai beni o servizi acquistati al
fornitore di servizi di fatturazione elettronica dell'esercente, ai
fini della generazione della fattura da trasmettere al Sistema di
interscambio (SDI);
    i) il cessionario riceve la notifica, attraverso l'App IO o altro
portale dedicato messo a disposizione dal proprio issuer, relativa
alla disponibilita' di transazioni per le quali e' stata richiesta la
fattura;
    j) il cessionario e l'esercente possono visualizzare la fattura
direttamente sui     servizi    messi   a    disposizione    dall'Agenzia
dell'entrate o, se del caso, tramite i servizi messi a disposizione
dal proprio fornitore di servizi di fatturazione elettronica;
    k) nell'ipotesi in cui le verifiche di cui alla lettera g) del
presente comma diano      esito    negativo,    la   societa'    comunica
all'esercente che non e' stato possibile procedere alla generazione
della fattura.

                                Art. 7

                     Trattamento di dati personali

  1. La societa' tratta i dati raccolti tramite l'App IO, o altro
portale dedicato messo a disposizione dall'issuer, e         trattati
nell'ambito del Sistema, in qualita' di titolare del trattamento,
esclusivamente per le finalita' di cui al presente decreto. La
societa' e' altresi' titolare del trattamento effettuato per la messa
a disposizione ai cessionari dei dati di cui all'art. 6, comma 1,
lettera i), del presente decreto, nonche' per le verifiche di cui
agli articoli 5, comma 1, lettera c), e 6, comma 1, lettera g), da
attuarsi secondo le modalita' previste dalla apposita convenzione con
l'Agenzia delle entrate, sottoscritta e allegata alla valutazione di
impatto di cui al comma 6 del presente articolo.
  2. La societa' e' designata responsabile dagli esercenti, ai sensi
dell'art. 28 del regolamento UE 2016/679, per         i   trattamenti
effettuati per conto degli stessi nell'ambito del servizio di
fatturazione automatica di cui al presente decreto.
  3. Gli issuer sono designati responsabili dalla societa', ai sensi
dell'art. 28 del regolamento UE 2016/679, per         i   trattamenti
effettuati, in virtu' di un'apposita convenzione, per lo svolgimento
delle attivita' ad essi affidate ai sensi del precedente art. 6,
comma 1, lettera i), del presente decreto.
  4. Al fine di individuare le transazioni rilevanti, e' fatto
obbligo agli acquirer, previa messa a disposizione da parte della
societa' dei dati relativi alle registrazioni dei cessionari e agli
identificativi delle transazioni effettuate per le quali sia stata
richiesta la fattura, di comunicare alla societa' i dati necessari a
tal fine. L'attivita' di comunicazione e' svolta dagli acquirer in
qualita' di titolari del trattamento, nel rispetto degli obblighi di
sicurezza previsti dalla normativa rilevante nonche' dagli standard
di settore. E' fatto divieto agli acquirer di utilizzare i dati
relativi alle registrazioni dei cessionari forniti dalla societa' per
finalita' non strettamente necessarie all'espletamento dei propri
compiti ai sensi del presente decreto. Gli          acquirer    tengono
aggiornati i dati ricevuti dalla       societa'   e    li    cancellano
automaticamente non appena non piu' necessari all'espletamento delle
attivita' di cui al presente decreto,        secondo    le    modalita'
individuate nella valutazione di impatto di cui al comma 6 del
presente articolo. In sede di prima applicazione, gli acquirer
possono demandare lo svolgimento di talune delle attivita' previste
dal presente decreto alla societa' stessa, che le svolgera' previa
designazione come responsabile del trattamento ai sensi dell'art. 28
del regolamento UE 2016/679, come dettagliate nella valutazione di
impatto di cui al comma 6 che segue.
  5. Il trattamento dei dati avviene nel rispetto delle misure e
degli obblighi imposti dal regolamento UE 2016/679 e dal decreto
legislativo 30 giugno 2003, n. 196 e successive modificazioni.
  6. La societa' effettua, prima del trattamento, la valutazione di
impatto ai sensi dell'art. 35 del regolamento (UE) 2016/679 e la
sottopone alla verifica preventiva del Garante per la protezione dei
dati personali.
  7. Nella valutazione di impatto sono indicate, inter alia, le
misure tecniche e organizzative idonee a garantire un livello di
sicurezza adeguato al rischio, nonche' a tutela dei diritti e delle
liberta' degli interessati. Nella      valutazione,    sono    altresi'
disciplinati i tempi e le modalita' di conservazione dei dati
trattati ai sensi del presente decreto, assicurando che gli stessi
siano conservati solo per il tempo necessario all'erogazione del
servizio.

                               Art. 8

                 Adeguamento tecnologico e normativo

  1. Le disposizioni di cui al presente decreto sono interpretate nel
senso di consentire l'adeguamento del Sistema all'evolversi delle
tecnologie e del quadro normativo di riferimento.

                               Art. 9

               Implementazione tecnologica e operativa

  1. La societa' implementa la soluzione tecnologica rispondente alle
regole tecniche di funzionamento e dei processi di cui al presente
decreto secondo le best practice di settore, curandone gli aspetti
tecnologici di dettaglio e fornendo indicazioni operative per la
messa in produzione del Sistema, nel rispetto e nei limiti di cui al
presente decreto e degli eventuali indirizzi forniti dalla Presidenza
del Consiglio dei ministri.
  Il presente decreto e' inviato ai competenti organi di controllo ed
e' efficace dalla data della sua pubblicazione nella Gazzetta
Ufficiale della Repubblica italiana.

    Roma, 12 dicembre 2020
Il Ministro per l'innovazione
                                  tecnologica e la digitalizzazione
                                               Pisano
Il Ministro dell'economia
     e delle finanze
        Gualtieri

Registrato alla Corte dei conti il 18 gennaio 2021
Ufficio di controllo sugli atti della Presidenza del Consiglio, del
Ministero della giustizia e del Ministero degli affari esteri, reg.
n. 101
Puoi anche leggere